Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2004-0213

Fecha de publicación:
06/08/2004
Idioma:
Español
El Adminstrador de Útiles en Windows 2000 lanza winhlp32.exe mientras que el Administrador de útiles se está ejecutando con privilegios elevados, lo que permite a usuarios locales ganar privilegios de sistema mediante un ataque de estilo "estallamiento" (shatter) que envía un mensaje de Windows para hacer que el Administrador de Útiles lance winhlp32 accediendo directamente a la ayuda sensible al contexto y saltándose el interfaz de usuario (GUI), y entonces enviando otro mensaje a winhlp32 para abrir un fichero seleccionado por el usuario, una vulnerabilidad distinta de CAN 2003-0908.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2025

CVE-2004-0676

Fecha de publicación:
06/08/2004
Idioma:
Inglés
*** Pendiente de traducción *** Directory traversal vulnerability in Fastream NETFile FTP/Web Server 6.7.2.1085 and earlier allows remote attackers to create or delete arbitrary files via .. (dot dot) and // (double slash) sequences in the filename parameter.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2004-0210

Fecha de publicación:
06/08/2004
Idioma:
Español
El componente POSIX de Microsoft Windows NT y Windows 2000 permite a usuarios locales ejecutar código de su elección mediante ciertos parámetros, posiblemente modificando valores de tamaño de mensaje y causando un desbordamiento de búfer.
Gravedad CVSS v3.1: ALTA
Última modificación:
03/04/2025

CVE-2004-1711

Fecha de publicación:
06/08/2004
Idioma:
Inglés
*** Pendiente de traducción *** Cross-site scripting (XSS) vulnerability in post.php in Moodle before 1.3 allows remote attackers to inject arbitrary web script or HTML via the reply parameter.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2004-0589

Fecha de publicación:
06/08/2004
Idioma:
Español
Cisco IOS 11.1 (x) a 11.3(x) y 12.0(x) a 12.2(x), cuando se configuran para encaminamiento BGP, permite a atacantes remotos causar una denegación de servicio (recarga de dipositivo) mediante mensajes BGP (1) OPEN o (2) UPDATE malformados.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2004-0667

Fecha de publicación:
06/08/2004
Idioma:
Inglés
*** Pendiente de traducción *** Rule Set Based Access Control (RSBAC) 1.2.2 through 1.2.3 allows access to sys_creat, sys_open, and sys_mknod inside jails, which could allow local users to gain elevated privileges.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2004-0526

Fecha de publicación:
06/08/2004
Idioma:
Español
Versiones desconocidas de Internet Explorer y Outlook permiten a atacantes remotos suplantar URL legítimas en la barra de estado mediante etiquetas A HREF con valores "alt" modificados que apuntan al sitio legítimo, combinado con un mapa de imagen cuyo HREF apunta al sitio malicioso, lo que facilita ataques de suplantación para robo de datos (phising).
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2004-0549

Fecha de publicación:
06/08/2004
Idioma:
Español
El control ActiveX WebBrowser, o el motor de render HTML de Internet Explorer (MSHTML), usado en Internet Explorer 6, permite a atacantes remotos ejecutar código arbitrario en el contexto de seguridad local usando el método showModalDialog y modificando la localizacion para ejecutar código como JavaScript, como demostró usando<br /> (1) redirecciones HTTP diferidas, y una respuesta HTTP con una cabecera "Location:" conteniendo un "URL:" añadida al principio de una URI "ms-its", o <br /> (2) modificando el atributo de localización de la ventana, explotado por el gusano Ject / Scob / Toofer, usando el objeto ADODB.Stream
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2004-0657

Fecha de publicación:
06/08/2004
Idioma:
Inglés
*** Pendiente de traducción *** Integer overflow in the NTP daemon (NTPd) before 4.0 causes the NTP server to return the wrong date/time offset when a client requests a date/time that is more than 34 years away from the server&amp;#39;s time.
Gravedad CVSS v2.0: MEDIA
Última modificación:
03/04/2025

CVE-2004-0641

Fecha de publicación:
05/08/2004
Idioma:
Inglés
*** Pendiente de traducción *** Thomson SpeedTouch 510 ADSL Router with firmware GV8BAA3.270, and possibly earlier versions, generates predictable TCP Initial Sequence Numbers (ISNs), which allows remote attackers to spoof or hijack TCP connections.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2004-1364

Fecha de publicación:
04/08/2004
Idioma:
Inglés
*** Pendiente de traducción *** Directory traversal vulnerability in extproc in Oracle 9i and 10g allows remote attackers to access arbitrary libraries outside of the $ORACLE_HOME\bin directory.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025

CVE-2004-1362

Fecha de publicación:
04/08/2004
Idioma:
Inglés
*** Pendiente de traducción *** The PL/SQL module for the Oracle HTTP Server in Oracle Application Server 10g, when using the WE8ISO8859P1 character set, does not perform character conversions properly, which allows remote attackers to bypass access restrictions for certain procedures via an encoded URL with "%FF" encoded sequences that are improperly converted to "Y" characters.
Gravedad CVSS v2.0: ALTA
Última modificación:
03/04/2025